Это еще один обновленный кейс использования ПланФикса – сегодня мы поговорим об использовании возможности по разделению доступа к справочникам для хранения и раздачи паролей. Впервые этот кейс был описан в 2012 году, затем в ПланФиксе появились новые возможности по управлению справочниками и он стал решаться изящней. Я упоминал об этом раньше и собирался описать этот вариант использования более подробно – и вот наконец добрался до этого дела.
Для начала – небольшое вступление.
Задача управления паролями очень распространена в командах разработчиков, студиях дизайна, да и во многих других областях. Особенно остро она стоит, когда команде приходится поддерживать большое количество клиентских проектов, и количество паролей измеряется десятками и сотнями.
ПланФикс не является специализированным средством для хранения паролей, но с его помощью можно организовать достаточно комфортную систему управления паролями с разделением прав доступа к ним. Как и множество других задач, хранение паролей в ПланФиксе можно организовать разными способами. Сегодня мы рассмотрим вариант использования для этой цели справочников.
Надо сказать, что справочники в ПланФиксе отличаются от таковых в любой другой известной мне системе одной важной особенностью – очень гибкой системой доступа. В частности, вы можете дать доступ конкретному пользователю к конкретной записи справочника, а остальных он не увидит. Эту особенность мы и используем в нашем примере.
Для хранения паролей я создал справочник “Контроль доступа” вот такой структуры:
В вашем случае структура может быть другой – по сути, она ни на что не влияет и просто должна хорошо подходить для хранения используемых вами паролей. В этот справочник заносятся данные по всем используемым в работе паролям, как правило это доступы к клиентским сайтам, админпанелям, компьютерам и т.п.
Перед началом заполнения, я рекомендую убрать доступ к справочнику для всех сотрудников. Это делается тут же, на вкладке “Доступ к справочнику” – необходимо переключиться в нее и удалить плашку “Все”:
После этого можно смело вносить в справочник нужные данные – доступа к ним у сотрудников не будет, хотя сам справочник в списке справочников они будут видеть. Единственное, что стоит учесть – администраторы вашего аккаунта ПланФикса будут видеть все записи. А вот другим сотрудникам будут выдаваться только нужные пароли.
Справочник заполнили, приступим к раздаче паролей.
Как я уже написал выше, система настроек прав доступа позволяет очень гибко раздавать права на просмотр/редактирование записей справочника. Но было бы неудобно каждый раз, когда нужно дать очередному сотруднику доступ к тому или иному паролю, лезть в настройку прав – поэтому мы с вами будем использовать одну старую, но малоизвестную особенность управления доступом к записям справочника. Заключается она в следующем: пользователь автоматически получает доступ к записи справочника, которая упомянута в адресованном ему тексте комментария ПланФикса.
Вставить ссылку на нужную запись справочника можно, нажав на специальную пиктограмму в редакторе:
Появится диалог выбора справочника, а затем – записи из него. Вставленная в текст ссылка выглядит следующим образом:
Когда сотрудник прочитает мой комментарий и кликнет по этой ссылке, он увидит содержимое этой записи:
и сможет использовать эти данные для доступа к сайту.
При этом:
- Доступ к этим данным получат только те пользователи, которые были указаны в списке “Уведомить об этом” данного действия. Другие пользователи, имеющие доступ к этой задаче, открыть запись справочника не смогут – а значит, контроль над распространением пароля сохраняется. По этой причине, кстати, описанная возможность работает только в комментариях – если указать ссылку на запись справочника в тексте задачи, доступ к ней никто не получит, т.к. неочевидно кто именно должен его получить (исполнители, участники, аудиторы и т.п.).
- Зайдя в справочник “Контроль доступа”, любой пользователь увидит в нем только те записи, к которым ему ранее был предоставлен доступ. Это удобно – в следующий раз, когда понадобится доступ к тому или иному паролю, ему не придется искать его среди множества задач, а достаточно будет зайти в специально предназначенный для этого справочник.
Ну и что самое важное в этом подходе : администратор может раздавать доступ к записям справочника быстро и без лишних телодвижений. А если пароль изменится, достаточно изменить его в справочнике – никого уведомлять об этом не нужно, все хранится в одном месте.
Дополнительные плюсы для администратора:
- Можно зайти в справочник и увидеть, кто имеет доступ к конкретной записи
- В справочнике можно давать доступ сразу для группы сотрудников
Вот и все, что я хотел рассказать по поводу хранения паролей и доступов в ПланФиксе. Не принимайте краткость изложения за малозначимость этого кейса. На самом деле он дает больше возможности: этот же способ может применяться в любом другом случае, когда вам необходимо разделить доступ к какой-то информации и быстро раздавать его нужным пользователям.
Как обычно, я готов ответить на ваши вопросы в комментариях.
Дмитрий Гончаренко Команда ПланФикса
суперская штука! как раз актуально. Было бы конечно идеально чтобы сервис мог интегрироваться в API самого ресурса от которого пароль и какими то простыми действиями сотрудник-пользователь Планфиса мог восстанавливать или изменять забытый пароль, не задействуя ресурс вышестоящих менеджеров (но это наверное уже некая фантастика 😉
Да, этот функционал ожидается только в ПланФикс 2.0 🙂
Используем эту схему с недавних пор, не совсем удобно по многим причинам особенно на большом количестве данных, но жить можно.
Там еще баг/фича есть что мало раздать на записи или через комментарии доступы. Нужно еще пользователю дать доступ на сам справочник отдельно пойти, у нас это добавление его в отдельную группу, это страшно но нужно помнить об этом.
Спасибо за этот комментарий, Александр – он заставил меня посмотреть на ситуацию под другим углом и внести небольшое изменение в описание кейса.
Обратите внимание на то, как сейчас описан порядок закрытия доступа к справочнику для всех сотрудников: плашку “Все” мы удаляем на вкладке доступа к записям справочника. Это дает возможность оставить доступ всем к самому справочнику в списке справочников https://pic.planfix.ru/pf/J9/xrQB5K.png – все равно зайдя в него пользователь не увидит ничего, кроме записей, к которым ему точечно дали доступ.
Вы можете сделать у себя таким же образом – тогда необходимость давать каждому пользователю еще и доступ к самому справочнику отпадет.
Крутая штука!
Настроил за 10 мин. Для настройки доступа к справочникам пришлось обратиться к справке ПланФикс. Но ничего, разобрался.
Есть 2 вопроса:
1. Насколько безопасно хранить пароли в ПФ? Кто имеет к ним доступ?
2. При экспорте данных происходит ли выгрузка базы паролей? Если нет, то когда будет реализована такая возможность?
1. С нашей стороны к клиентским данным в принципе имеют доступ только 3 человека, с которыми заключены соглашения о конфиденциальности и неразглашении, учитывающие эту специфику. Ну и вообще это люди, которые стоят у основ сервиса и более, чем кто-либо другой, заинтересованы в полной сохранности всех клиентских данных.
2. Да, происходит – ведь это просто специальный справочник, а справочники экспортируются.
В каком виде хранятся записи из справочников на ваших серверах?
В виде записей базы данных очень хитрой структуры.
Уточню вопрос: зашифрованный текст или plain text?
Plain text
Актуально, но “Plain text” как то смущает.
Есть в планах шифрование?
Нет, Павел. Это ведь не специализированное ПО для хранения паролей, а просто частный случай использования справочников ПланФикса.
Добрый день! А есть ли возможность давать видеть записи, не давая доступ к полям логин/пароль?
Пытались “играть” с галочками в “Управление доступом”, но ни на что не повлияло.
Здравствуйте, Злата!
Да, можно. Если не получается, напишите в Службу поддержки, коллеги помогут разобраться по шагам.
Хотелось бы видеть возможность временного предоставления доступа к данным. Было бы удобнее реализовать так:
Пользователь имеет доступ к записи справочника, пока есть активная задача у которой в описании есть ссылка на элемент справочника или комментарий на пользователя, в котором есть эта же ссылка. Как только задача переводится в неактивный статус – доступ у пользователя исчезает (если конечно он ему не предоставлен настройкой прав из самого справочника).
Это возможно?